アプリインストーラーの悪用につながる不審なダウンロードページを特定
WhoisXML APIが、金銭的動機によるアプリインストーラー悪用と繋がりを持つアーティファクトを1,100個以上発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロードMuddyWaterの進展の兆しをDNSで発見
MuddyWaterは、政治的動機に基づく標的型攻撃を2012年から仕掛けているハッカー集団です。10年以上前から存在し、今も引退する気配を見せていません。
報告によると、MuddyWaterは最近、標的としたネットワークをより効果的に制御するためにC&Cフレームワークを更新し、PhonyC2としてローンチしました。1 それだけではありません。彼らはまた、攻撃に関与していることを標的に覚らせないよう、DEV-10842と協力関係を結びました。2
Deep Instinctは最近の分析で、PhonyC2のIoCとして39個のプロパティを特定しました。他方、MuddyWater・DEV-1084間のパートナーシップについては、Microsoftが14個のIoCを公表しています。
WhoisXML APIではこれを受け、未確認の関連アーティファクトを明らかにするべく、自らの広範なDNSインテリジェンスを駆使してさらに調査を進めました。その結果、以下が判明しました。
- PhonyC2のIoCとして特定された一部のドメイン名が名前解決する3個のユニークなIPアドレス
- PhonyC2のIoCとされたドメイン名の専用IPホストを共用する3個のドメイン名
- PhonyC2のIoCとされたドメイン名と同じ文字列を含む152個のドメイン名
- PhonyC2のIoCとされたIPアドレスを使うドメイン名と同じ文字列を含む22個のドメイン名。そのうち2個はマルウェア一括チェックにより悪意あるドメイン名と確認
- MuddyWater・DEV-1084のIoCとして特定された一部のドメイン名が名前解決する3個のユニークなIPアドレス
- MuddyWater・DEV-1084のIoCとされたドメイン名の専用ホストを共用する294個のドメイン名。そのうち1個はマルウェア一括チェックにより悪意あるドメイン名と確認
脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。
—
- [1] https://www.deepinstinct.com/blog/phonyc2-revealing-a-new-malicious-command-control-framework-by-muddywater
- [2] https://www.microsoft.com/en-us/security/blog/2023/04/07/mercury-and-dev-1084-destructive-attack-on-hybrid-environment/